Dziennik zmian
|
Zmiana 1: 19 czerwca 2023 r.:
|
W tym artykule
Podsumowanie
Aktualizacje systemu Windows wydane 8 listopada 2022 r. dotyczą obejścia zabezpieczeń i podwyższenia luki w zabezpieczeniach uprawnień dzięki negocjacjom uwierzytelniania przy użyciu słabych negocjacji RC4-HMAC.
Ta aktualizacja ustawi AES jako domyślny typ szyfrowania dla kluczy sesji na kontach, które nie są jeszcze oznaczone domyślnym typem szyfrowania.
Aby zabezpieczyć środowisko, zainstaluj aktualizacje systemu Windows wydane 8 listopada 2022 r. lub później na wszystkich urządzeniach, w tym na kontrolerach domeny. Zobacz Zmienianie 1.
Aby dowiedzieć się więcej o tych lukach, zobacz CVE-2022-37966.
Odnajdowanie jawnie ustawionych typów szyfrowania kluczy sesji
Na kontach użytkowników mogą być jawnie zdefiniowane typy szyfrowania, które są narażone na lukę CVE-2022-37966. Poszukaj kont, dla których funkcja DES/ RC4 jest jawnie włączona, ale nie AES, używając następującego zapytania usługi Active Directory:
-
Get-ADObject -Filter "msDS-supportedEncryptionTypes -bor 0x7 -and -not msDS-supportedEncryptionTypes -bor 0x18"
Ustawienia klucza rejestru
Po zainstalowaniu aktualizacji systemu Windows, które są datowane na 8 listopada 2022 lub później, dla protokołu Kerberos jest dostępny następujący klucz rejestru:
DefaultDomainSupportedEncTypes
|
Klucz rejestru |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\KDC |
|
Wartość |
DefaultDomainSupportedEncTypes |
|
Typ danych |
REG_DWORD |
|
Wartość danych |
0x27 (domyślne) |
|
Wymagane jest ponowne uruchomienie komputera? |
Nie |
Uwaga Jeśli musisz zmienić domyślny obsługiwany typ szyfrowania dla użytkownika lub komputera z usługą Active Directory, ręcznie dodaj i skonfiguruj klucz rejestru, aby ustawić nowy obsługiwany typ szyfrowania. Ta aktualizacja nie powoduje automatycznego dodania klucza rejestru.
Kontrolery domeny systemu Windows używają tej wartości do określania obsługiwanych typów szyfrowania na kontach w usłudze Active Directory, których wartość msds-SupportedEncryptionType jest pusta lub nie jest ustawiona. Komputer z obsługiwaną wersją systemu operacyjnego Windows automatycznie ustawia dla tego konta w usłudze Active Directory typ msds-SupportedEncryptionTypes . Jest to oparte na skonfigurowanej wartości typów szyfrowania dozwolonych przez protokół Kerberos. Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos.
Konta użytkowników, konta usług zarządzanych przez grupę i inne konta w usłudze Active Directory nie mają ustawionej automatycznie wartości msds-SupportedEncryptionTypes .
Aby znaleźć obsługiwane typy szyfrowania, które można ustawić ręcznie, zobacz Obsługiwane typy szyfrowania — flagi bitowe. Aby uzyskać więcej informacji, zobacz, co należy zrobić w pierwszej kolejności, aby pomóc w przygotowaniu środowiska i zapobieganiu problemom z uwierzytelnianiem Kerberos.
Wartość domyślna 0x27 (DES, RC4, AES Session Keys) została wybrana jako minimalna zmiana niezbędna do tej aktualizacji zabezpieczeń. Zalecamy, aby klienci ustawili wartość 0x3C w celu zwiększenia bezpieczeństwa, ponieważ ta wartość pozwoli zarówno na bilety szyfrowane za pomocą AES, jak i klucze sesji AES. Jeśli klienci postępowali zgodnie z naszymi wskazówkami, aby przejść do środowiska AES-only, w którym protokół RC4 nie jest używany dla protokołu Kerberos, zalecamy, aby klienci ustawiali wartość 0x38. Zobacz Zmienianie 1.
Zdarzenia systemu Windows związane z CVE-2022-37966
Centrum dystrybucji kluczy Kerberos nie ma silnych kluczy do konta
|
Dziennik zdarzeń |
System |
|
Typ zdarzenia |
Błąd |
|
Źródło zdarzeń |
Kdcsvc |
|
Identyfikator zdarzenia |
42 |
|
Tekst zdarzenia |
Centrum dystrybucji kluczy Kerberos nie ma silnych kluczy dla konta: nazwa_konta. Użytkownik musi zaktualizować hasło do tego konta, aby zapobiec korzystaniu z niezabezpieczonej kryptografii. Zobacz https://go.microsoft.com/fwlink/?linkid=2210019, aby dowiedzieć się więcej. |
W przypadku znalezienia tego błędu prawdopodobnie musisz zresetować hasło krbtgt przed ustawieniem krbtgtFullPacSingature = 3 lub zainstalowaniem systemu Windows Aktualizacje wydanego 11 lipca 2023 r. lub później. Aktualizacja, która programowo włącza tryb wymuszania cve-2022-37967, została udokumentowana w następującym artykule w bazie wiedzy Microsoft Knowledge Base:
KB5020805: Jak zarządzać zmianami protokołu Kerberos dotyczącymi CVE-2022-37967
Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz tematNew-KrbtgtKeys.ps1 w witrynie internetowej GitHub.
Często zadawane pytania (często zadawane pytania) i znane problemy
Konta oflagowane na potrzeby jawnego użycia RC4 są narażone na zagrożenia. Ponadto środowiska, które nie mają kluczy sesji AES w ramach konta krbgt mogą być narażone. Aby ograniczyć ten problem, postępuj zgodnie ze wskazówkami dotyczącymi identyfikowania luk w zabezpieczeniach i użyj sekcji ustawień klucza rejestru , aby zaktualizować jawnie ustawione ustawienia domyślne szyfrowania.
Należy sprawdzić, czy wszystkie urządzenia mają typ szyfrowania Kerberos. Aby uzyskać więcej informacji na temat typów szyfrowania Kerberos, zobacz Odszyfrowywanie wybranych obsługiwanych typów szyfrowania Kerberos.
Środowiska bez typów szyfrowania Kerberos mogły wcześniej działać z powodu automatycznego dodawania RC4 lub przez dodanie AES, jeśli RC4 został wyłączony za pośrednictwem zasad grupy przez kontrolery domeny. To zachowanie uległo zmianie w aktualizacjach wydanych 8 listopada 2022 r. lub później i będzie teraz ściśle przestrzegać tego, co jest ustawione w kluczach rejestru, msds-SupportedEncryptionTypes i DefaultDomainSupportedEncTypes.
Jeśli dla konta nie ustawiono wartości msds-SupportedEncryptionTypes lub jest ono ustawione na 0, kontrolery domeny przyjmują wartość domyślną 0x27 (39) lub kontroler domeny użyje ustawienia w kluczu rejestru DefaultDomainSupportedEncTypes.
Jeśli dla konta ustawiono typ msds SupportedEncryptionTypes , to ustawienie jest honorowane i może spowodować, że nie skonfigurowano typów szyfrowania Kerberos zamaskowanych przez poprzednie zachowanie automatycznego dodawania RC4 lub AES, co nie jest już działaniem po zainstalowaniu aktualizacji wydanych 8 listopada 2022 r. lub później.
Aby uzyskać informacje o tym, jak sprawdzić, czy korzystasz z typów szyfrowania Kerberos, zobacz pytanie Jak sprawdzić, czy na wszystkich moich urządzeniach jest używany typ szyfrowania Kerberos?
Zobacz poprzednie pytanie, aby uzyskać więcej informacji, dlaczego urządzenia mogą nie mieć typów szyfrowania Kerberos po zainstalowaniu aktualizacji wydanych 8 listopada 2022 r. lub później.
Jeśli masz już zainstalowane aktualizacje wydane 8 listopada 2022 r. lub później, możesz wykryć urządzenia, które nie mają typów typów szyfrowania Kerberos, w dzienniku zdarzeń zdarzenia 27 zdarzenia Microsoft-Windows-Kerberos-Key-Distribution-Center, który identyfikuje chaotyczne typy szyfrowania między klientami Kerberos a serwerami zdalnymi lub usługami.
Instalacja aktualizacji wydanych 8 listopada 2022 r. lub później na klientach lub serwerach ról kontrolera domeny nie powinna wpływać na uwierzytelnianie Kerberos w środowisku.
Aby ograniczyć ten znany problem, otwórz okno wiersza polecenia jako administrator i tymczasowo użyj następującego polecenia, aby ustawić klucz rejestru KrbtgtFullPacSignature na 0:
-
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Uwaga Po rozwiązaniu tego znanego problemu należy ustawić ustawienie KrbtgtFullPacSignature na wyższe ustawienie w zależności od tego, na co zezwoli środowisko. Zalecamy włączenie trybu wymuszania zaraz po przygotowaniu środowiska.
Następne krokiPracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.
Po zainstalowaniu aktualizacji wydanych w dniu 8 listopada 2022 r. lub później na kontrolerach domeny wszystkie urządzenia muszą obsługiwać podpisywanie biletów AES zgodnie z wymogami, aby były zgodne z zabezpieczeniami wymaganymi dla cve-2022-37967.
Następne kroki Jeśli korzystasz już z najbardziej aktualnego oprogramowania i oprogramowania układowego dla urządzeń innych niż Windows i potwierdzono, że istnieje typowy typ szyfrowania dostępny między kontrolerami domeny systemu Windows a urządzeniami z systemem innym niż Windows, musisz skontaktować się z producentem urządzenia (OEM) w celu uzyskania pomocy lub wymiany urządzeń na te, które są zgodne.
WAŻNE Nie zalecamy stosowania żadnego obejścia w celu umożliwienia uwierzytelnienia niezgodnych urządzeń, ponieważ może to spowodować narażenie środowiska.
Nieobsługiowane wersje systemu Windows obejmują systemy Windows XP, Windows Server 2003, Windows Server 2008 z dodatkiem SP2 i Windows Server 2008 R2 z dodatkiem SP1 nie mogą być dostępne na zaktualizowanych urządzeniach z systemem Windows, chyba że masz licencję ESU. Jeśli masz licencję ESU, musisz zainstalować aktualizacje wydane 8 listopada 2022 r. lub później i sprawdzić, czy konfiguracja ma wspólny typ szyfrowania dostępny między wszystkimi urządzeniami.
Następne kroki Zainstaluj aktualizacje, jeśli są one dostępne dla Twojej wersji systemu Windows i masz odpowiednią licencję ESU. Jeśli aktualizacje nie są dostępne, konieczne będzie uaktualnienie do obsługiwanej wersji systemu Windows lub przeniesienie dowolnej aplikacji lub usługi na zgodne urządzenie.
WAŻNE Nie zalecamy stosowania żadnego obejścia w celu umożliwienia uwierzytelnienia niezgodnych urządzeń, ponieważ może to spowodować narażenie środowiska.
Ten znany problem został rozwiązany w aktualizacjach pozapasmowych wydanych 17 listopada 2022 r. i 18 listopada 2022 r. w celu zainstalowania na wszystkich kontrolerach domeny w środowisku. Aby rozwiązać ten problem, nie musisz instalować żadnej aktualizacji ani wprowadzać żadnych zmian na innych serwerach ani urządzeniach klienckich w środowisku. Jeśli użyto obejścia lub środków łagodzących ten problem, nie są one już potrzebne i zalecamy ich usunięcie.
Aby uzyskać autonomiczny pakiet tych aktualizacji pozapasmowych, wyszukaj numer KB w wykazie usługi Microsoft Update. Te aktualizacje można zaimportować ręcznie do Windows Server Update Services (WSUS) i programu Microsoft Endpoint Configuration Manager. Aby uzyskać instrukcje dotyczące programu WSUS, zobacz WSUS i Witryna wykazu. Aby uzyskać instrukcje dotyczące menedżera konfiguracji, zobacz Importowanie aktualizacji z wykazu usługi Microsoft Update.
Uwaga Następujące aktualizacje nie są dostępne w Windows Update i nie zostaną zainstalowane automatycznie.
Aktualizacje zbiorcze:
Uwaga Przed zainstalowaniem tych aktualizacji zbiorczych nie trzeba stosować żadnej poprzedniej aktualizacji. Jeśli masz już zainstalowane aktualizacje wydane 8 listopada 2022 r., nie musisz odinstalowywać tych aktualizacji przed zainstalowaniem jakichkolwiek późniejszych aktualizacji, w tym aktualizacji wymienionych powyżej.
Autonomiczny Aktualizacje:
-
Windows Server 2012 R2: KB5021653
-
Windows Server 2012: KB5021652
-
Windows Server 2008 R2 z dodatkiem SP1: KB5021651 (wydana 18 listopada 2022 r.)
-
Windows Server 2008 z dodatek SP2: KB5021657
Uwagi
-
Jeśli używasz aktualizacji samych zabezpieczeń dla tych wersji systemu Windows Server, musisz zainstalować te aktualizacje autonomiczne tylko w listopadzie 2022 r. Aktualizacje tylko zabezpieczeń nie są zbiorcze i trzeba zainstalować wszystkie poprzednie aktualizacje samych zabezpieczeń, aby były w pełni aktualne. Comiesięczne aktualizacje zbiorcze aktualizacji zawierają aktualizacje zabezpieczeń i wszystkie aktualizacje dotyczące jakości.
-
Jeśli korzystasz z comiesięcznych aktualizacji zbiorczych aktualizacji, musisz zainstalować zarówno aktualizacje autonomiczne wymienione powyżej, aby rozwiązać ten problem, jak i zainstalować comiesięczne pakiety zbiorcze aktualizacji wydane 8 listopada 2022 r., aby otrzymywać aktualizacje dotyczące jakości dla listopada 2022 r. Jeśli masz już zainstalowane aktualizacje wydane 8 listopada 2022 r., nie musisz odinstalowywać tych aktualizacji przed zainstalowaniem jakichkolwiek późniejszych aktualizacji, w tym aktualizacji wymienionych powyżej.
Jeśli konfiguracja środowiska została zweryfikowana i nadal występują problemy z implementacją protokołu Kerberos innej firmy niż firma Microsoft, konieczne będą aktualizacje lub pomoc techniczna od dewelopera lub producenta aplikacji lub urządzenia.
Ten znany problem można ograniczyć, wykonując jedną z następujących czynności:
-
Ustaw wartości bitowe msds-SupportedEncryptionTypes lub ustaw bieżącą domyślną 0x27 , aby zachować bieżącą wartość. Przykład:
-
Msds-SuportedEncryptionTypes -bor 0x27
-
-
Ustaw dla msds-SupportEncryptionTypeswartość 0 , aby kontrolery domen używały domyślnej wartości 0x27.
Następne krokiPracujemy nad rozwiązaniem tego problemu i udostępnimy aktualizację w najbliższej wersji.
Słownik entry
Advanced Encryption Standard (AES) to szyfrowanie blokowe, które zastępuje standard szyfrowania danych (DES). AES może służyć do ochrony danych elektronicznych. Algorytm AES może być używany do szyfrowania (szyfrowania) i odszyfrowywania (odszyfrowywania) informacji. Szyfrowanie konwertuje dane na niezrozumiały formularz nazywany szyfrem; Odszyfrowanie szyfrowanego tekstu powoduje przekonwertowanie danych z powrotem na ich oryginalną formę, zwaną zwykłym tekstem. AES jest używany w kryptografii klucza symetrycznego, co oznacza, że ten sam klucz jest używany do operacji szyfrowania i odszyfrowywania. Jest to również szyfrowanie blokowe, co oznacza, że działa na blokach o stałym rozmiarze zwykłego tekstu i szyfru, i wymaga, aby rozmiar zwykłego tekstu oraz szyfru był dokładną wielokrotność tego rozmiaru bloku. AES jest również znany jako algorytm szyfrowania symetrycznego Rijndael [FIPS197].
Kerberos to protokół uwierzytelniania sieci komputerowej, który działa na podstawie "biletów", aby umożliwić węzłom komunikowanie się za pośrednictwem sieci w celu udowodnienia swojej tożsamości w bezpieczny sposób.
Usługa Kerberos implementująca usługi uwierzytelniania i udzielania biletów określone w protokole Kerberos. Usługa działa na komputerach wybranych przez administratora domeny lub domeny. nie jest obecna na każdym komputerze w sieci. Musi mieć dostęp do bazy danych konta dla obszaru, który obsługuje. KDC są zintegrowane z rolą kontrolera domeny. Jest to usługa sieciowa, która dostarcza bilety klientom do wykorzystania w uwierzytelnianiu do usług.
RC4-HMAC (RC4) to algorytm szyfrowania symetrycznego o zmiennej długości klucza. Aby uzyskać więcej informacji, zobacz [SCHNEIER] sekcja 17.1.
Stosunkowo krótkotrwały klucz symetryczny (klucz kryptograficzny negocjowany przez klienta i serwer na podstawie wspólnego klucza tajnego). Długość życia kluczy sesji jest powiązana z sesją, z którą jest skojarzona. Klucz sesji musi być wystarczająco silny, aby wytrzymać cryptanalysis przez czas pracy sesji.
Specjalny rodzaj biletu, który może być używany do uzyskania innych biletów. Bilet udzielający biletu (TGT) jest uzyskiwany po początkowym uwierzytelnieniu w wymianie usługi uwierzytelniania (AS). następnie użytkownicy nie muszą przedstawiać swoich poświadczeń, ale mogą użyć TGT do uzyskania kolejnych biletów.
